《商业银行财务审计工作底稿模版之-信息系统和电子资金转账系统(ITGC)了解与测试.xlsx》由会员分享,可在线阅读,更多相关《商业银行财务审计工作底稿模版之-信息系统和电子资金转账系统(ITGC)了解与测试.xlsx(10页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、会会计计师师事事务务所所(特特殊殊普普通通合合伙伙)信信息息系系统统应应用用规规模模标标准准问问卷卷所属会计师事务所:会计师事务所(特殊普通合伙)被审计单位:XXX银行股份有限公司审核员:审核员A日期:2013.XX.XX索引号:BB2-8BB2-8审查项目:了解内部控制会计期间:2012.12.31复核员:复核员B日期:2013.XX.XX页次:注:因商业银行属于客户业务高度依赖信息系统自动化处理的情形,系统环境一般为复杂。故应由信息系统审计人员(专家)执行信息系统和电子转账系统(ITGC)的了解与测试工作,并按照准则要求编制工作底稿、形成工作结论、提交有关工作报告。项目组按照准则要求评价信
2、息系统审计人员(专家)对商业银行计算机信息系统和电子资金转账系统的测试结论,以确定进一步审计程序的性质、时间安排和范围。(提示:商业银行在资金调拨、交易处理和会计核算等方面大量使用计算机信息系统和电子资金转账系统,包括外购和自行开发各种软件。中国注册会计师审计准则第1611号商业银行财务报表审计第十五条指出,商业银行的计算机信息系统和电子资金转账系统具有下列重要作用,注册会计师应当关注其使用的方式和程度:(1)计算和记录利息收入和支出;(2)计算外汇和证券交易头寸,并记录相关的损益;(3)提供资产、负债余额的最新记录;(4)每日处理大量巨额交易。因此,为了正确进行控制测试和确定实质性程序的性质
3、、时间和范围,注册会计师应当关注商业银行使用计算机信息系统和电子资金转账系统的方式和程度。第十六条规定,由于商业银行具有的特征和风险,注册会计师通常需要依赖控制测试而不能完全依赖实质性程序。在评价商业银行内部控制的预期可信赖程度时,注册会计师应当着重考虑计算机信息系统和电子转账系统的使用方式和电子化程度对内部控制可信赖程度的影响,包括核心计算机信息系统、电子资金转账系统和其他信息技术系统及其关联性。第三十一条规定,计算机信息系统和电子资金转账系统的广泛使用,对注册会计师评价商业银行的内部控制有重要影响。注册会计师应当对影响系统开发、修改、接触、数据登录、网络安全和应急计划的相关内部控制进行评价
4、。注册会计师应当考虑商业银行使用电子资金转账系统的程度,评价交易前监督控制和交易后确认及调节程序的完整性。)填填表表信信息息:审计部门填表人联系方式客户业务及财务部填表人联系方式客户IT部门填表人联系方式一一、信信息息系系统统基基本本情情况况商业银行的计算机信息系统主要由主机系统和终端系统两部分组成。主机系统主要包括以大型机/微型机为主机系统。终端系统包括通用终端和专用终端,后者主要包括存折票据打印机、ATM智能终端和POS智能终端等。商业银行计算机系统的硬件和软件环境主要由操作系统、网络软件和应用软件组成。二二、信信息息系系统统清清单单业务流程应用系统名称说明(若为“其他”请添加说明)是否与
5、其他系统存在接口操作系统数据库硬件型号服务器所在地点自主开发?采购软件?最早上线(使用)日期交易、风控、结算客服财务合规稽核人力资源固定资产信息技术三三、计计算算机机环环境境的的复复杂杂程程度度序号问题回答1.应用系统是否当年新实施?2.系统是否变更,变更方式?3.系统当年重大变更的性质?4.是否存在与其他系统的接口?5.是否存在批处理操作?6.是否高度自动化?7其他需要关注的信息,如有根据上述选项回答,参考下列指引判断客户信息系统环境的复杂程度:客户使用集成性大型ERP系统(如SAP,Oracle)或自行开发核心业务或财务系统的,系统环境一般为复杂;客户当年上线新业务和财务系统的,系统环境判
6、断一般为复杂;客户对现有系统进行功能性、程序性和改变系统运转方式的关键参数设置变更的,系统环境一般为复杂;客户核心业务或财务系统存在关键数据处理接口的,系统环境一般为复杂;客户使用批处理操作进行数据处理的,系统环境一般为复杂;客户业务高度依赖信息系统自动化处理的(如银行、保险、证券、电子商务、电信等行业或电子数据交换、无纸化运作等),系统环境一般为复杂;其他判断系统环境为复杂的因素(如基于风险评估审计团队认为是复杂),遵从审计团队的判断;信息系统审计师介入的程度与信息系统一般控制审计的范围和时间。问问卷卷检检查查信信息息(填填写写)问卷检查人联系方式检查访谈对象联系方式检查日期问问卷卷检检查查
7、、访访谈谈过过程程中中发发现现的的值值得得注注意意的的计计算算机机整整体体控控制制相相关关问问题题四四、结结论论信息系统环境为:项目负责合伙人:签名日期会会计计师师事事务务所所(特特殊殊普普通通合合伙伙)信信息息系系统统应应用用规规模模标标准准问问卷卷所属会计师事务所:会计师事务所(特殊普通合伙)被审计单位:XXX银行股份有限公司审核员:审核员A日期:2013.XX.XX索引号:BB2-8BB2-8审查项目:了解内部控制会计期间:2012.12.31复核员:复核员B日期:2013.XX.XX页次:信信息息系系统统一一般般控控制制(ITGCITGC)测测试试(穿穿行行测测试试)所属会计师事务所:
8、会计师事务所(特殊普通合伙)被审计单位:XXX银行股份有限公司审核员:审核员A日期:2013.XX.XX索引号:BB2-8-10BB2-8-10审查项目:了解内部控制会计期间:2012.12.31复核员:复核员B日期:2013.XX.XX页次:是是否否执执行行ITGC测测试试是若否,则出现:描述否的原因:一一、ITGCITGC测测试试目目的的对每个ITGC相关的种类进行穿行测试。我们进行ITGC穿行测试以确认我们对于ITGC设计及其执行的理解。二二、ITGCITGC穿穿行行测测试试程程序序IT技术环境通常会支持多个应用程序,因此通常会对影响核心业务和财务信息的应用程序的IT技术环境执行穿行测试
9、;若有特殊情况需特别注明。IT技术环境的例子包括:应用程序的管理控制、支持应用程序的技术平台,或支持应用程序的数据中心。在下面的空白处,识别由此项穿行测试所涵盖的“ITIT 技技术术环环境境”及与“IT 技术环境”相关的“应应用用程程序序”。ITIT 技技术术环环境境名名称称与与ITIT技技术术环环境境相相关关的的应应用用程程序序注:信息系统环境的技术构成包括:应用系统、数据库管理系统、操作系统、网络和互联网/远程访问等 常见的应用系统包括:金蝶、用友、SAP、Oracle Financials或者企业自行开发的应用系统等 常见的数据库管理系统包括:Oracle、DB2、Microsoft S
10、QL Server等 网络是指共同分享沟通的计算机群和相关设备,通常共享存储在计算机服务器上的资源 互联网/远程访问是指把应用系统用户从外部资源链接到信息系统环境的方法、流程和技术对于计划依赖ITGC的应用程序,我们应对能够达到每个相关“ITGC 种类”目标的ITGC执行穿行测试,选出应当执行穿行测试的“ITGC 种类”。系统开发和变更管理请选择信息系统安全请选择其他ITGC,包括IT运营请选择若不适用,则出现:描述不适用的原因:三三、ITGCITGC穿穿行行测测试试(一一)系系统统开开发发和和变变更更管管理理1 1、系系统统开开发发和和变变更更管管理理穿穿行行测测试试目标:只允许对应用程序、
11、界面、数据库和操作系统进行经过适当授权、测试和批准的变更。记录我们对于客户针对“系统开发和变更管理”种类程序的了解和参考的客户文档。内内容容请请描描述述流流程程系统开发和变更管理程序(授权、测试和批准)系统开发和变更管理的监控系统开发和变更管理的不相容职责的分工其他回回答答下下列列每每个个问问题题:安排执行开发或测试的人员没有批准程序开发或变更的管理权限、实施程序移入或移出生产环境的操作权限、及执行对程序开发和变更相关控制的监控权限。请选择执行对程序开发和变更相关控制的监控人员没有批准程序开发或变更的管理权限、安排开发或变更、或将程序移入或移出生产环境的权限。请选择如果对上面任一问题的回答为“
12、NO(否)”,则应描述能够对不相容职责进行分工的替代控制。2 2、描描述述为为“系系统统开开发发和和变变更更管管理理”种种类类所所执执行行的的ITGCITGC穿穿行行测测试试以以及及为为确确认认我我们们对对其其设设计计及及已已被被执执行行的的了了解解所所获获得得的的证证据据。系系统统开开发发和和变变更更管管理理程程序序(授授权权、测测试试和和批批准准)程程序序客客户户控控制制穿穿行行测测试试支支持持性性文文件件索索引引号号穿穿行行测测试试结结论论执执行行有有效效性性测测试试结结论论发发现现系统开发和变更经过授权系统开发和变更经过测试系统开发和变更经过批准可加行系系统统开开发发和和变变更更管管理
13、理的的监监控控程程序序客客户户控控制制穿穿行行测测试试支支持持性性文文件件索索引引号号穿穿行行测测试试结结论论执执行行有有效效性性测测试试结结论论发发现现系统开发和变更受到监控可加行系系统统开开发发和和变变更更管管理理的的不不相相容容职职责责的的分分工工程程序序客客户户控控制制穿穿行行测测试试支支持持性性文文件件索索引引号号穿穿行行测测试试结结论论执执行行有有效效性性测测试试结结论论发发现现系统开发和变更管理环境下不相容职责的分工系统开发和变更管理环境下的环境分离可加行其其他他程程序序客客户户控控制制穿穿行行测测试试支支持持性性文文件件索索引引号号穿穿行行测测试试结结论论执执行行有有效效性性测
14、测试试结结论论发发现现可加行(二二)信信息息系系统统安安全全1 1、信信息息系系统统安安全全穿穿行行测测试试目标:只允许经授权的人员访问数据和应用程序(包括程序、表格以及相关资源),并且这些人员只能执行明确授权的职能(例如:询问、执行和更新)。记录我们对于客户针对“信息系统安全”种类的程序的了解或参考的客户文档。内内容容请请描描述述流流程程一般系统安全设置(用户身份和认证策略)应用用户访问管理对系统管理资源访问管理物理访问信息系统安全的监控信息系统安全的不相容职责的分工其他回回答答下下列列每每个个问问题题:不同人员批准用户访问权限、设置用户访问权限及监控访问违规/违规企图。请选择信信息息系系统
15、统一一般般控控制制(ITGCITGC)测测试试(穿穿行行测测试试)所属会计师事务所:会计师事务所(特殊普通合伙)被审计单位:XXX银行股份有限公司审核员:审核员A日期:2013.XX.XX索引号:BB2-8-10BB2-8-10审查项目:了解内部控制会计期间:2012.12.31复核员:复核员B日期:2013.XX.XX页次:具有特许访问权限的人员不会执行对特许访问用户的监控。请选择如果对上面任一问题的回答为“NO(否)”,则应描述能够对不相容职责进行分工的替代控制。2 2、描描述述为为“信信息息系系统统安安全全”种种类类所所执执行行的的ITGCITGC穿穿行行测测试试以以及及为为确确认认我我
16、们们对对其其设设计计及及已已被被执执行行的的了了解解所所获获得得的的证证据据。一一般般系系统统安安全全设设置置(用用户户身身份份和和认认证证策策略略)程程序序客客户户控控制制穿穿行行测测试试支支持持性性文文件件索索引引号号穿穿行行测测试试结结论论执执行行有有效效性性测测试试结结论论发发现现一般系统安全设置是恰当的。可加行应应用用用用户户访访问问管管理理程程序序客客户户控控制制穿穿行行测测试试支支持持性性文文件件索索引引号号穿穿行行测测试试结结论论执执行行有有效效性性测测试试结结论论发发现现应用系统管理权限授权合理。用户访问经授权且适当设置(包括用户新增、权限更改、离职删除)。管理层定期审核用户
17、权限合理性。可加行对对系系统统管管理理资资源源访访问问管管理理程程序序客客户户控控制制穿穿行行测测试试支支持持性性文文件件索索引引号号穿穿行行测测试试结结论论执执行行有有效效性性测测试试结结论论发发现现对系统管理资源访问限于适当的授权人员。可加行物物理理访访问问程程序序客客户户控控制制穿穿行行测测试试支支持持性性文文件件索索引引号号穿穿行行测测试试结结论论执执行行有有效效性性测测试试结结论论发发现现对计算机硬件的物理访问限于适当人员。可加行信信息息系系统统安安全全的的监监控控程程序序客客户户控控制制穿穿行行测测试试支支持持性性文文件件索索引引号号穿穿行行测测试试结结论论执执行行有有效效性性测测
18、试试结结论论发发现现信息系统安全过程受到监控。可加行信信息息系系统统安安全全的的不不相相容容职职责责的的分分工工程程序序客客户户控控制制穿穿行行测测试试支支持持性性文文件件索索引引号号穿穿行行测测试试结结论论执执行行有有效效性性测测试试结结论论发发现现信息系统安全环境下的不相容职责分工。可加行其其他他程程序序客客户户控控制制穿穿行行测测试试支支持持性性文文件件索索引引号号穿穿行行测测试试结结论论执执行行有有效效性性测测试试结结论论发发现现可加行(三三)其其他他ITGCITGC,包包括括ITIT运运营营信信息息系系统统一一般般控控制制(ITGCITGC)测测试试(穿穿行行测测试试)所属会计师事务
19、所:会计师事务所(特殊普通合伙)被审计单位:XXX银行股份有限公司审核员:审核员A日期:2013.XX.XX索引号:BB2-8-10BB2-8-10审查项目:了解内部控制会计期间:2012.12.31复核员:复核员B日期:2013.XX.XX页次:1 1、其其他他ITGCITGC,包包括括ITIT运运营营的的穿穿行行测测试试目标:正确备份支持财务信息的数据,以便在出现系统中断或数据完整性问题时,可以准确完整地恢复此类数据(即备份和恢复)。按计划执行程序,及时识别并消除按计划处理时产生的偏差(即时间安排)。及时识别、解决、复核和分析 IT 运行问题或事件(即问题和事件的管理及监控)。在相关控制的
20、失败可能对会计报表或披露产生影响时,应包括其他 ITGC种类,包括IT运维。记录我们对于客户针对“其他 ITGC种类,包括IT运营”种类的程序的了解或参考的客户文档。内内容容请请描描述述流流程程财务数据的备份和恢复批处理/按计划执行程序管理问题和事件的管理及监控数据接口管理其他(包括IT治理)2 2、描描述述为为“其其他他ITGCITGC,包包括括ITIT运运营营”种种类类所所执执行行的的ITGCITGC穿穿行行测测试试以以及及为为确确认认我我们们对对其其设设计计及及已已被被执执行行的的了了解解所所获获得得的的证证据据。财财务务数数据据的的备备份份和和恢恢复复程程序序客客户户控控制制穿穿行行测
21、测试试支支持持性性文文件件索索引引号号穿穿行行测测试试结结论论执执行行有有效效性性测测试试结结论论发发现现 财务数据已备份且可恢复。可加行批批处处理理/按按计计划划执执行行程程序序管管理理程程序序客客户户控控制制穿穿行行测测试试支支持持性性文文件件索索引引号号穿穿行行测测试试结结论论执执行行有有效效性性测测试试结结论论发发现现及时识别并处理批处理/按计划执行程序产生的偏差。问问题题和和事事件件的的管管理理及及监监控控程程序序客客户户控控制制穿穿行行测测试试支支持持性性文文件件索索引引号号穿穿行行测测试试结结论论执执行行有有效效性性测测试试结结论论发发现现及时识别、解决、复核和分析 IT 运营问
22、题或事件。数数据据接接口口管管理理程程序序客客户户控控制制穿穿行行测测试试支支持持性性文文件件索索引引号号穿穿行行测测试试结结论论执执行行有有效效性性测测试试结结论论发发现现及时识别、解决、复核和分析数据接口问题或事件其其他他(包包括括ITIT治治理理)程程序序客客户户控控制制穿穿行行测测试试支支持持性性文文件件索索引引号号穿穿行行测测试试结结论论执执行行有有效效性性测测试试结结论论发发现现四四、结结论论信信息息系系统统一一般般控控制制(ITGCITGC)测测试试(穿穿行行测测试试)所属会计师事务所:会计师事务所(特殊普通合伙)被审计单位:XXX银行股份有限公司审核员:审核员A日期:2013.
23、XX.XX索引号:BB2-8-10BB2-8-10审查项目:了解内部控制会计期间:2012.12.31复核员:复核员B日期:2013.XX.XX页次:索索引引号号:BB2-8-10-100BB2-8-10-100信信息息系系统统一一般般控控制制(ITGCITGC)测测试试说说明明ITGC穿穿行行测测试试程程序序本底稿帮助我们记录“了解穿行测试,测试和评估ITGCs”中所描述的我们对ITGC的穿行测试。我们选择ITGC 的一次发生来执行穿行测试。穿行测试包含所适用的手动和自动的ITGC。在执行ITGC穿行测试时,我们采用能够帮助识别和评价ITGC 的框架ITGC“主要控制程序”。框架基于三个“I
24、TGC 种类”(“系统开发和变更管理”、“信息系统安全”和“其他 ITGC”,包括IT运营)的目标。对于与这一IT环境相关联的应用程序,我们应确定所有这些应用程序是由相同的IT技术环境支持的。如果确定这些应用程序是由不同的IT技术环境支持的,我们可能必须执行额外的ITGC穿行测试(或考虑识别多个IT技术环境)。例如,如果应用程序A 是由不同于应用程序B 的程序变更控制支持的,我们应对两组IT技术环境都执行穿行测试。在执行每个ITGC穿行测试时:我们应记录处理程序是否是根据最初的了解及时执行,例如我们应向客户人员询问其对于客户所规定的程序的了解,以确认我们对客户ITGC设计的理解并确定ITGC设
25、计的完整性。我们应警惕公司所规定的程序和ITGC中的例外情况。我们应评定客户是否设计了程序以确保适当的不相容职责的分工,并且确定那些执行程序的客户人员是否承担了不相容的职责。这些不相容职责包括同一个用户能够访问IT系统的不相容管理内容,因此导致其可以执行不适当的行为。我们可以询问相关人员,当遇到处理差错时他们会做什么、他们遇到过的差错类型有哪些、差错被发现后出现了什么情况,以及差错是如何解决的。在ITGC穿行测试过程中的询问应包括能够帮助识别信息技术管理/操作权限被滥用或由于舞弊或内控缺陷导致重大误报风险的问题。我们应评估我们的询问结果是否有助于识别因舞弊而发生误报的风险和对我们的回答可能有助
26、于印证管理层所作的答复、或者提供与管理层逾越控制的可能性相关的信息。当我们询问其他人的结果表明管理层有逾越控制的可能性,我们应考虑跟进他们对舞弊的认知或嫌疑。我们应使用客户人员在执行ITGC时通常会使用的相同源文件和信息技术。执行ITGC穿行测试所选中的项目和使用的证据应由相关的技术来源系统化地生成。如果客户无法提供系统生成的信息,将很可能需要额外程序来验证所提供信息的完整性和准确性。当IT环境发生重大变化时,我们应评价这些变化的性质及其对ITGC的影响,并确定是否应对变化前后的ITGC分别进行穿行测试。我们应评估在执行穿行测试过程中所获得审计证据的数量,是否足以确定ITGC设计有效及ITGC
27、是否被执行。如果穿行测试未能确认我们对于ITGC的初步了解,我们可能需要重新评估依赖ITGC的策略,并确定对相关应用程序控制、依赖IT的手工控制及电子审计证据的影响。如有必要,当我们的穿行测试表明与我们对ITGC的理解有差别时,我们应修改我们的程序记录。我们应确定缺失或无效的ITGC是否代表了一个或多个内部控制缺陷,并评估该缺陷是否为重大缺陷。对于综合审计项目,我们应将这些缺陷包括在“控制缺陷汇总”中以便进一步评估。结结论论在完成ITGC穿行测试程序后,我们应就测试结果是否确认了我们对ITGC的了解、ITGC是否得以有效设计及已执行得出结论。对于每个ITGC,我们应就已识别的ITGC是否已得以
28、有效设计及已执行作出结论。如果无法得出ITGC得以有效设计及已被执行的结论,我们可能需要重新评估依赖ITGC的策略,并确定对相关应用程序控制、依赖IT的手工控制及电子审计证据的影响。我们应确定缺失或无效的ITGC是否代表了一个或多个内部控制缺陷,并评估该缺陷是否为重大缺陷。对于综合审计项目,我们应将这些缺陷包括在“控制缺陷汇总”中以便进一步评估。会会计计师师事事务务所所(特特殊殊普普通通合合伙伙)控控制制测测试试信信息息系系统统一一般般控控制制所属会计师事务所:会计师事务所(特殊普通合伙)被审计单位:XXX银行股份有限公司审核员:审核员A日期:2013.XX.XX索引号:BB2-8-20BB2
29、-8-20审查项目:了解内部控制会计期间:2012.12.31复核员:复核员B日期:2013.XX.XX页次:提提示示:考考虑虑通通常常情情况况下下对对自自动动化化控控制制执执行行有有效效性性的的测测试试只只需需一一次次,故故将将了了解解与与测测试试的的底底稿稿编编排排在在一一起起,不不再再列列入入“控控制制测测试试”文文件件包包中中。一、交易发生频率和样本量的选择根据中注协企业内部控制审计指南的相关规定,测试人工控制的最小样本量区间如下:控制运行的频率控制运行的总次数测试最小样本量区间每年 1次11每季 1次42每月 1次1225每周 1次52515每天 1次2502040每天多次大于250
30、次2560拟测试信息系统一般控制的描述控制类型控制运行的频率计划测试的样本量总体的来源总体中项目总数选取样本的方法可加行可加行可加行注:对自动化控制的执行有效性只需测试一次,即可得出所测试自动化控制是否运行有效的结论。拟测试公司内部控制的描述关键控制资料关键控制资料的控制点可加行可加行可加行测试结论:经测试,是否发现控制偏差?是 否 若是,则出现请描述控制偏差的具体内容。是否计划扩大样本量是 否 若是,则出现请描述扩大样本量的原因、对于扩大样本测试的结论及相关索引号控制偏差的内容扩大样本量的原因/补偿性控制测试的内容对扩大样本测试的结论测试索引号未再发现偏差会会计计师师事事务务所所(特特殊殊普
31、普通通合合伙伙)控控制制测测试试信信息息系系统统测测试试过过程程记记录录所属会计师事务所:会计师事务所(特殊普通合伙)被审计单位:XXX银行股份有限公司审核员:审核员A日期:2013.XX.XX索引号:BB2-8-30BB2-8-30审查项目:了解内部控制会计期间:2012.12.31复核员:复核员B日期:2013.XX.XX页次:拟测试信息系统一般控制的描述:序号关键控制资料的控制点:1.2.3.4.5.6.7.8.9.10.注:根据项目的具体情况选择关键控制资料的控制点。控制测试结论:会会计计师师事事务务所所(特特殊殊普普通通合合伙伙)控控制制测测试试问问题题汇汇总总表表信信息息系系统统一一般般控控制制所属会计师事务所:会计师事务所(特殊普通合伙)被审计单位:XXX银行股份有限公司审核员:审核员A日期:2013.XX.XX索引号:BB2-8-40BB2-8-40审查项目:了解内部控制会计期间:2012.12.31复核员:复核员B日期:2013.XX.XX页次:内部控制执行缺陷的描述补偿性控制措施控制缺陷的评级对财务报告影响分析整改建议管理层反馈